ASP.NET WebForm中异步请求防止XSRF攻击的方法 - Nic Pei

在ASP.NET MVC中微软已经提供了如何防止跨域攻击的方法。对于传统Webfrom中使用Handler来接受ajax的Post请求数据，如何来防止XSRF攻击呢。这里给大家提供一个简单地方法，和MVC中类似。

1.首先需要在你的站点中安装如下的nuget包。可以手动复制dll。

Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710

最新版本的Razor是3.0的，安装WebPages的时候，它依赖于Razor，所以对于framework4.0的项目来说，无法安装WebPages最新版本。需要安装2.0版本。

进入微软、亚马逊，谷歌等美国IT企业工作人才项目，起薪40万，百度搜索（MUMCS）

安装完成后，增加了如下几个dll:

2.配置web.config，生成隐藏的token。

需要在system.web节点下增加如下配置：

配置好节点后，需要在.aspx页面的后台代码中增加一个Token生成字段，如果有基类，那么就可以把该部分添加到基类中。

我们增加了属性Token，然后使用AntiForgery.GetHtml()来生成一个隐藏的token。然后在页面中绑定该Token。

3.创建一个接收ajax请求的Handler，加入防止伪造页面提交的代码。

4.创建一个带有Token的Ajax请求。

这样就可以防止你的异步请求被XSRF攻击了。

进入微软、亚马逊，谷歌等美国IT企业工作人才项目，起薪40万，百度搜索（MUMCS）

PS:对于很多站点，会有子域名之类的，或者是一个Cookie多个站点共用，就容易出现懂点技术的用户跨站点去伪造请求。

微软开源了.net的很多代码，如果你想看上面的实现原理，那么可以去下载代码查看。

希望对你有所帮助。

本文链接：ASP.NET WebForm中异步请求防止XSRF攻击的方法，转载请注明。